-
Junior Member
- Вес репутации
- 52
Очередной Rootkit
Удалось сделать только лог GMER и лог AVZ Syschek.
В безопасном режиме комп не грузится. Пытался написать сам скрипт для AVZ, но после его выполнения после загрузки винды в момент выбора пользователя появляется экран смерти. Грузится только с последней рабочей конфигурацией.
Помогите, пожалуйста.
Вложение 239312
Вложение 239313
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winupd01.exe');
QuarantineFile('advpack.dll','');
QuarantineFile('C:\RELEASE\DEBUG\ghx.exe','');
QuarantineFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe','');
QuarantineFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
QuarantineFile('C:\windows\System32\Drivers\sytpwncl.sys','');
QuarantineFile('C:\windows\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\protecty.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectt.sys','');
QuarantineFile('C:\windows\System32\DRIVERS\protectr.sys','');
QuarantineFile('C:\windows\System32\DRIVERS\protectq.sys','');
QuarantineFile('C:\windows\System32\DRIVERS\protectj.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\protecti.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectd.sys','');
QuarantineFile('C:\windows\System32\DRIVERS\protecta.sys','');
QuarantineFile('c:\windows\system32\winupd01.exe','');
SetServiceStart('protecty', 4);
SetServiceStart('protectt', 4);
SetServiceStart('protectr', 4);
SetServiceStart('protectq', 4);
SetServiceStart('protectj', 4);
SetServiceStart('protecti', 4);
SetServiceStart('protectd', 4);
SetServiceStart('protecta', 4);
DeleteService('protecty');
DeleteService('protectt');
DeleteService('protectr');
DeleteService('protectq');
DeleteService('protectj');
DeleteService('protecti');
DeleteService('protectd');
DeleteService('protecta');
DeleteService('protect');
DeleteService('sytpwncl');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144');
DelCLSID('67KLN5K0-4OPM-00WE-AAX5-77EF1D187463');
DelCLSID('67KLN5K0-4OPM-00WE-AAX5-27EF1D187263');
DeleteFile('c:\windows\system32\winupd01.exe');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\windows\System32\DRIVERS\protecta.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\protectd.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\protecti.sys');
DeleteFile('C:\windows\System32\DRIVERS\protectj.sys');
DeleteFile('C:\windows\System32\DRIVERS\protectq.sys');
DeleteFile('C:\windows\System32\DRIVERS\protectr.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\protectt.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\protecty.sys');
DeleteFile('C:\windows\System32\Drivers\sytpwncl.sys');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
DeleteFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
DeleteFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe');
DeleteFile('C:\RELEASE\DEBUG\ghx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sytpwncl');
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-725345543-1897051121-839522115-1003\Dc70.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-725345543-1897051121-839522115-1003\Dc76.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\zycafala.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\windows\services.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('yaai14y2w7a');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 52
-
Плохого не видно, что с проблемой?
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Обновите Adobe Reader. Также рекомендую скачать и просканировать системный диск AVPTool'ом. Возможно будут найдены остаточные вирусы.
-
-
Junior Member
- Вес репутации
- 52
Огромное спасибо. Проблем не осталось. Выполню все рекомендации.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\пользователь\application data\microsoft\doozudopood.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\пользователь\application data\microsoft\mozo.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\пользователь\application data\microsoft\zycafala.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\пользователь\application data\oabws.exe - Net-Worm.Win32.Kolab.ijs ( DrWEB: Trojan.MulDrop1.20039, BitDefender: Worm.Generic.242380, AVAST4: Win32:Malware-gen )
- c:\documents and settings\пользователь\btga.exe - Backdoor.Win32.Cetorp.ib ( DrWEB: BackDoor.Tofsee, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-725345543-1897051121-839522115-1003\dc70.exe - not-a-virus:Monitor.Win32.KGBSpy.jw ( AVAST4: Win32:Spambot-EL [Trj] )
- c:\recycler\s-1-5-21-725345543-1897051121-839522115-1003\dc76.exe - Trojan.Win32.FraudPack.asse ( BitDefender: Trojan.Generic.3853407, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Trojan.Win32.FraudPack.asse ( BitDefender: Trojan.Generic.3853407, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\services.exe - Email-Worm.Win32.Joleee.eum ( DrWEB: Trojan.Spambot.3531, BitDefender: Trojan.Generic.3946020, NOD32: Win32/TrojanProxy.Small.NCA trojan, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\windows\system32\drivers\protecta.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protectd.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protecti.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protectj.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protectq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protectr.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protectt.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\protecty.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\mozo.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\windows\system32\userini.exe - Packed.Win32.Krap.gy ( AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\system32\winupd01.exe - Net-Worm.Win32.Kolab.hug ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: Trojan.VB.Agent.FC, AVAST4: Win32:Malware-gen )
-